docker

Worm contamina 2 mil Dockers para mineração

Paulo Brito
18/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores da unidade de inteligência em ameaças da Palo Alto Networks identificaram um novo worm de criptojacking, o Graboid, que se espalhou usando contêineres de software Docker. O worm se espalhou para mais de 2.000 hosts Docker desprotegidos para utilizar o poder de processamento desses ambientes na mineração da criptomoeda Monero. Docker é uma plataforma que facilita a criação e administração de ambientes isolados. Ele permite o empacotamento de uma aplicação ou ambiente inteiro dentro de um ‘container’. Esse ambiente é portável para qualquer outro Host que contenha o Docker. Já o Monero é uma criptomoeda de código aberto que permite aos usuários ocultar quase todos os detalhes das transações – ao contrário das transações de Bitcoin, que são públicas, rastreáveis ​​e permanentemente armazenadas na rede.

Embora tenha havido incidentes de malware de cryptojacking se espalhando por meio de worms, esta é a primeira vez que um de cryptojacking se espalha utilizando os contêineres do Docker (edição da comunidade). Tudo começou com alguém mal-intencionado invadinto e tomando posição por meio de daemons Docker não seguros. Depois o malware foi baixado dos servidores de comando e controle (C2). Ele foi implantado para minerar Monero, procurar novos hosts vulneráveis​ e escolher o próximo alvo aleatório dos worms.

Segundo os pesquisadores da Palo Alto, cada minerador estava ativo, em média, 63% do tempo, e cada período de mineração durava 250 segundos. A empresa explicou que esse é um tipo de atividade maliciosa de difícil detecção, pois a maioria dos softwares tradicionais de proteção de terminais não inspeciona dados e atividades dentro de contêineres. A empresa Docker trabalhou em conjunto com a Palo Alto para remover as imagens de contêineres maliciosos.

Embora o worm não envolva táticas, técnicas ou procedimentos sofisticados, pode extrair periodicamente novos scripts dos centros de comando e controle (C2). Isso significa que ele pode ser facilmente transformado em ransomware ou outro malware para comprometer o servidor.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest